Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Уязвимость системы удаленного доступа позволила вымогателям поразить свыше 1500 клиентов американского IT-провайдера.
Более 1500 организаций пополнили список жертв GandCrab. Злоумышленники атаковали компании через поставщика IT-услуг, напрямую подключенного к инфраструктурам заказчиков.
По сообщениям специалистов, один из клиентов заметил признаки вмешательства в понедельник 4 февраля. Преступники воспользовались брешью в одном из плагинов к системе удаленного доступа Kaseya. Известная с ноября 2017 года уязвимость позволяет отправлять серверу команды в обход аутентификации.
При помощи буквально одной команды взломщики установили шифровальщик GandCrab всем клиентам провайдера. На черном рынке любой желающий может взять этот зловред в аренду, поэтому выяснить, кто организовал кампанию, пока не удалось.
Ранее в атаках на IT-провайдеров были замечены сразу несколько APT-группировок, которые таким образом быстро расширяют масштаб своих кампаний. Нынешний взлом позволил преступникам заблокировать более 1500 организаций, а у компании — невольной соучастницы распространения GandCrab потребовали $2,6 млн выкупа. Ущерб от потери зашифрованных данных еще только предстоит оценить.
Вскоре после инцидента компания Kaseya напомнила о существующем патче к проблемному плагину. По словам разработчиков, сейчас заплатка установлена у «критически малой» доли пользователей. Производитель призвал администраторов срочно удалить устаревшие версии плагина. Примечательно, что и CVE-индекс у этой уязвимости появился только сейчас, когда ИБ-эксперты напомнили о ней корпорации MITRE.
Эксперты отмечают, что растущее число подобных атак сильно беспокоит профессиональное сообщество — внешней IT-поддержкой пользуется множество организаций. Ситуацию осложняет и тот факт, что клиенты бессильны перед угрозой. После того как преступники взломали ПО на стороне провайдера, защитные системы его заказчиков считали вредоносные действия легитимными.
Проблема уже привлекла внимание американского правительства. В октябре специалисты US-CERT сообщили, что следят сразу за несколькими группировками, которые угрожают IT-провайдерам. Преступники тщательно скрывают свои действия, используя легитимные учетные данные, доверенные приложения и предустановленные системные утилиты, — все это позволяет взломщикам похищать информацию и деньги.
Ранее австралийские специалисты обнаружили вредоносную кампанию, направленную на поставщиков хостинговых услуг. Преступники устанавливали нежелательное ПО на веб-серверы, что позволяло им добывать криптовалюту, манипулировать с трафиком и рекламными баннерами.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |